ISO 22600-3:2014
(Main)Health informatics — Privilege management and access control — Part 3: Implementations
Health informatics — Privilege management and access control — Part 3: Implementations
ISO 22600 defines principles and specifies services needed for managing privileges and access control to data and/or functions. It focuses on communication and use of health information distributed across policy domain boundaries. This includes healthcare information sharing across unaffiliated providers of healthcare, healthcare organizations, health insurance companies, their patients, staff members, and trading partners by both individuals and application systems ranging from a local situation to a regional or even national situation. It specifies the necessary component-based concepts and is intended to support their technical implementation. It will not specify the use of these concepts in particular clinical process pathways. ISO 22600-3:2014 instantiates requirements for repositories for access control policies and requirements for privilege management infrastructures. It provides implementation examples of the formal models specified in ISO 22600‑2.
Informatique de santé — Gestion de privilèges et contrôle d'accès — Partie 3: Mises en oeuvre
L'ISO 22600 définit les principes de gestion des privilèges et de contrôle d'accès aux données et/ou aux fonctions et spécifie les services nécessaires à ces activités. Elle se concentre sur la communication et l'utilisation des informations de santé réparties au-delà des limites d'un domaine de politique. Cela inclut le partage d'informations de santé entre prestataires de soins de santé non affiliés, organisations de soins de santé, sociétés d'assurance‑maladie, patients, membres du personnel et partenaires commerciaux, par des individus tout comme par des systèmes d'application utilisés dans un contexte local, voire régional ou même national. Elle spécifie les concepts nécessaires pour chaque composante et est destinée à venir à l'appui de leur mise en oeuvre technique. Elle ne spécifiera pas l'utilisation de ces concepts pour des cheminements de processus cliniques particuliers. L'ISO 22600-3:2014 instancie les exigences applicables aux répertoires de politiques de contrôle d'accès et les exigences applicables aux infrastructures de gestion des privilèges. Elle fournit des exemples de mise en oeuvre des modèles formels spécifiés dans l'ISO 22600-2.
General Information
Relations
Standards Content (Sample)
INTERNATIONAL ISO
STANDARD 22600-3
First edition
2014-10-01
Health informatics — Privilege
management and access control —
Part 3:
Implementations
Informatique de santé — Gestion de privilèges et contrôle d’accès —
Partie 3: Mises en oeuvre
Reference number
©
ISO 2014
© ISO 2014
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized otherwise in any form
or by any means, electronic or mechanical, including photocopying, or posting on the internet or an intranet, without prior
written permission. Permission can be requested from either ISO at the address below or ISO’s member body in the country of
the requester.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Published in Switzerland
ii © ISO 2014 – All rights reserved
Contents Page
Foreword .iv
Introduction .v
1 Scope . 1
2 Normative references . 1
3 Terms and definitions . 1
4 Abbreviated terms .13
5 Structures and services for privilege management and access control .15
6 Interpretation of ISO 22600-2 formal models in healthcare settings .18
7 Concept representation for health information systems .18
7.1 Overview .18
7.2 Domain languages .19
7.3 OCL constraint modelling .20
7.4 Other constraint representations .20
8 Consent .22
8.1 Overview .22
8.2 Patient consent .22
8.3 Patient consent management .22
9 Emergency access .22
10 Refinement of the control model .23
11 Refinement of the delegation model .23
Annex A (informative) Privilege management infrastructure .24
Annex B (informative) Attribute certificate extensions.60
Annex C (informative) Terminology comparison .62
Annex D (informative) Examples for policy management and policy representation .63
Bibliography .66
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards
bodies (ISO member bodies). The work of preparing International Standards is normally carried out
through ISO technical committees. Each member body interested in a subject for which a technical
committee has been established has the right to be represented on that committee. International
organizations, governmental and non-governmental, in liaison with ISO, also take part in the work.
ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of
electrotechnical standardization.
The procedures used to develop this document and those intended for its further maintenance are
described in the ISO/IEC Directives, Part 1. In particular the different approval criteria needed for the
different types of ISO documents should be noted. This document was drafted in accordance with the
editorial rules of the ISO/IEC Directives, Part 2 (see www.iso.org/directives).
Attention is drawn to the possibility that some of the elements of this document may be the subject of
patent rights. ISO shall not be held responsible for identifying any or all such patent rights. Details of
any patent rights identified during the development of the document will be in the Introduction and/or
on the ISO list of patent declarations received (see www.iso.org/patents).
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an explanation on the meaning of ISO specific terms and expressions related to conformity
assessment, as well as information about ISO’s adherence to the WTO principles in the Technical Barriers
to Trade (TBT) see the following URL: Foreword - Supplementary information
The committee responsible for this document is ISO/TC 215, Health informatics.
This first edition of ISO 22600-3 cancels and replaces ISO/TS 22600-3:2009, which has been technically
revised.
ISO 22600 consists of the following parts, under the general title Health informatics — Privilege
management and access control:
— Part 1: Overview and policy management
— Part 2: Formal models
— Part 3: Implementations
iv © ISO 2014 – All rights reserved
Introduction
The distributed architecture of shared care information systems supporting service-oriented
architecture (SOA) is increasingly based on corporate networks and virtual private networks. For
meeting the interoperability challenge, the use of standardized user interfaces, tools, and protocols,
which ensures platform independence, but also the number of really open information systems, is
rapidly growing during the last couple of years.
As a common situation today, hospitals are supported by several vendors providing different applications,
which are not able to communicate authentication and authorization since each has its own way of
handling these functions. For achieving an integrated scenario, it takes a remarkable amount of money,
time, and efforts to get users and changing organizational environments dynamically mapped before
starting communication and cooperation. Resources required for the development and maintenance
of security functions grow exponentially with the number of applications, with the complexity of
organizations towards a regional, national, or even international level, and with the flexibility of users
playing multiple roles, sometimes even simultaneously.
The situation becomes even more challenging when inter-organizational communications happens,
thereby crossing security policy domain boundaries. Moving from one healthcare centre to another or
from country to country, different rules for privileges and their management can apply to similar types
of users, both for execution of particular functions and for access to information. The policy differences
between these domains have to be bridged automatically or through policy agreements, defining sets of
rules followed by the parties involved, for achieving interoperability.
Another challenge to be met is how to improve the quality of care by using IT without infringing the
privacy of the patient. To provide physicians with adequate information about the patient, a virtual
electronic health care record is required which makes it possible to keep track of all the activities
belonging to one patient regardless of where and by whom they have been performed and documented.
In such an environment, a generic model or specific agreement between the parties for managing
privileges and access control including the patient or its representative is needed.
Besides a diversity of roles and responsibilities, typical for any type of large organization, also ethical
and legal aspects in the healthcare scenario due to the sensitivity of person-related health information
managed and its personal and social impact have to be considered.
Advanced solutions for privilege management and access control are required today already, but
this challenge will even grow over the next couple of years. The reason is the increase of information
exchanged between systems in order to fulfil the demands of health service providers at different care
levels for having access to more and more patient-related information to ensure the quality and efficiency
of patient’s diagnosis and treatment, however combined with increased security and privacy risks.
The implementation of this International Standard might be currently too advanced and therefore not
feasible in certain organizational and technical settings. For meeting the basic principle of best possible
action, it is therefore very important that at least a policy agreement is written between the parties
stating to progress towards this International Standard when any update/upgrade of the systems is
intended. The level of formalization and granularity of policies and the objects these policies are bound
to defines the solution maturity on a pathway towards the presented specification.
The policy agreement also has to contain defined differences in the security systems and agreed
solutions on how to overcome the differences. For example, the authentication service and privileges
of a requesting party at the responding site have to be managed according to the policy declared in
the agreement. For that reason, information and service requester, as well as information and service
provider on the one hand, and information and services requested and provided on the other hand, have
to be grouped and classified in a limited number of concepts for enabling the specification of a limited
number of solution categories. Based on that classification, claimant mechanisms, target sensitivity
mechanisms, and policy specification and management mechanisms can be implemented. Once all
parties have signed the policy agreement, the communication and information exchange can start with
the existing systems if the parties can accept the risks. If there are unacceptable risks which have to be
eliminated before the information exchange starts, they also have to be recorded in the policy agreement
together with an action plan stating how these risks have to be removed. The policy agreement also has
to contain a time plan for this work and an agreement on how it has to be financed.
The documentation of the negotiation process is very important and provides the platform for the policy
agreement.
Privilege management and access control address security and privacy services required for
communication and cooperation, i.e. distributed use of health information. It also implies safety aspects,
professional standards, and legal and ethical issues. This International Standard introduces principles
and specifies services needed for managing privileges and access control. Cryptographic protocols are
out of the scope of this International Standard.
This three-part International Standard references existing architectural and security standards as well
as specifications in the healthcare area such as ISO, CEN, ASTM, OMG, W3C, etc., and endorses existing
appropriate standards or identifies enhancements or modifications or the need for new standards. It
comprises of:
— ISO 22600-1: describes the scenarios and the critical parameters in information exchange across
policy domains. It also gives examples of necessary documentation methods as the basis for the
policy agreement.
— ISO 22600-2: describes and explains, in a more detailed manner, the architectures and underlying
models for privilege management and access control which are necessary for secure information
sharing including the formal representation of policies.
— ISO 22600-3: describes examples of implementable specifications of application security services
and infrastructural services using different specification languages.
It accommodates policy bridging. It is based on a conceptual model where local authorization servers and
cross-border directory and policy repository services can assist access control in various applications
(software components). The policy repository provides information on rules for access to various
application functions based on roles and other attributes. The directory service enables identification
of the individual user. The granted access will be based on four aspects:
— the authenticated identification of principals (i.e. human users and objects that need to operate
under their own rights) involved;
— the rules for access to a specific information object including purpose of use;
— the rules regarding authorization attributes linked to the principal provided by the authorization
manager;
— the functions of the specific application.
This International Standard supports collaboration between several authorization managers that can
operate over organizational and policy borders.
This International Standard is strongly related to other ISO/TC 215 works such as ISO 17090 (all parts),
ISO 22857, ISO 21091, and ISO 21298.
This International Standard is meant to be read in conjunction with its complete set of associated
standards.
Based on the Unified Process, a three-dimensional architectural reference model has been derived for
defining the constraint models needed. The dimensions of the Generic Component Model used are the
domain axis, the decomposition/composition axis, and the axis describing the views on a system and its
components. For being future-proof, sustainable, flexible, portable, and scalable, only the constraining
process and the resulting security-related meta-models are presented. The instantiation and
implementation, e.g. the specification of mechanisms and encoding definitions, is a long-term process,
dedicated to other standards and projects or the vendor/provider community, respectively.
vi © ISO 2014 – All rights reserved
After shortly summarizing the basics of ISO 22600-2, the different ways of representing different levels
of maturity with different levels of interoperability below the ideal situation of a semantically valid one
are discussed.
For those different environments and levels, this part of ISO 22600 introduces examples for specializing
and implementing the formal high-level models for architectural components based on ISO/IEC 10746
and defined in ISO 22600-2. These examples and related services are grouped in different Annexes.
The specifications are provided using derivates of the Extensible Markup Language (XML), especially
Security Assertion Markup Language (SAML) and Extensible Access Control Markup Language (XACML)
specified by OASIS. Additional specifications are also presented in the traditional ASN.1 syntax.
This International Standard has been harmonized in essential parts with ASTM E2595-07.
INTERNATIONAL STANDARD ISO 22600-3:2014(E)
Health informatics — Privilege management and access
control —
Part 3:
Implementations
1 Scope
This multi-part International Standard defines principles and specifies services needed for managing
privileges and access control to data and/or functions.
It focuses on communication and use of health information distributed across policy domain boundaries.
This includes healthcare information sharing across unaffiliated providers of healthcare, healthcare
organizations, health insurance companies, their patients, staff members, and trading partners by
both individuals and application systems ranging from a local situation to a regional or even national
situation.
It specifies the necessary component-based concepts and is intended to support their technical
implementation. It will not specify the use of these concepts in particular clinical process pathways.
This part of ISO 22600 instantiates requirements for repositories for access control policies and
requirements for privilege management infrastructures. It provides implementation examples of the
formal models specified in ISO 22600-2.
This part of ISO 22600 excludes platform-specific and implementation details. It does not specify technical
communication security services, authentication techniques, and protocols that have been established in
other International Standards such as e.g. ISO 7498-2, ISO/IEC 10745 (ITU-T X.803), ISO/IEC/TR 13594
(ITU-T X.802), ISO/IEC 10181-1 (ITU-T X.810), ISO/IEC 9594-8 (ITU-T X.509), ISO/IEC 9796 (all parts),
ISO/IEC 9797 (all parts), and ISO/IEC 9798 (all parts).
2 Normative references
The following documents, in whole or in part, are normatively referenced in this document and are
indispensable for its application. For dated references, only the edition cited applies. For undated
references, the latest edition of the referenced document (including any amendments) applies.
ISO/IEC 9594-8, Information technology — Open Systems Interconnection — The Directory — Part 8:
Public-key and attribute certificate frameworks
ISO/IEC 10181-3, Information technology — Open Systems Interconnection — Security frameworks for
open systems: Access control framework — Part 3
ASTM E2084-00, Standard Specification for Authentication of Healthcare Information Using Digital
Signatures
3 Terms and definitions
3.1
access control
means of ensuring that the resources of a data processing system can be accessed only by authorized
entities in authorized ways
[SOURCE: ISO/IEC 2382-8:1998]
3.2
access control decision function
ADF
specialized function that makes access control decisions by applying access control policy rules to a
requested action
3.3
access control enforcement function
AEF
specialized function that is part of the access path between a requester and a protected resource that
enforces the decisions made by the ADF
3.4
access control information
information used for access control purposes, including contextual information
3.5
accountability
property that ensures that the actions of an entity can be traced uniquely to the entity
[SOURCE: ISO 7498-2:1989]
3.6
asymmetric cryptographic algorithm
algorithm for performing encipherment or the corresponding decipherment in which the keys used for
encipherment and decipherment differ
[SOURCE: ISO/IEC 10181-1:1996]
3.7
attribute authority
AA
authority which assigns privileges by issuing attribute certificates
[SOURCE: ISO/IEC 9594-8:2008]
3.8
attribute authority revocation list
AARL
revocation list containing a list of references to attribute certificates issued to AAs that are no longer
considered valid by the certificate issuing authority
3.9
attribute certificate
data structure, digitally signed by an attribute authority, that binds some attribute values with
identification about its holder
[SOURCE: ISO/IEC 9594-8:2008]
3.10
attribute certificate revocation list
ACRL
revocation list containing a list of references to attribute certificates that are no longer considered valid
by the certificate issuing authority
2 © ISO 2014 – All rights reserved
3.11
authentication
provision of assurance of the claimed identity of an entity by securely associating an identifier and its
authenticator
[SOURCE: ISO/IEC 15944-5:2008, 3.5]
Note 1 to entry: See also data origin authentication (3.49) and peer entity authentication.
3.12
authentication token
information conveyed during a strong authentication exchange, which can be used to authenticate its
sender
3.13
authority
entity, which is responsible for the issuance of certificates
Note 1 to entry: Two types are defined in this part of ISO 22600: certification authority which issues public key
certificates and attribute authority which issues attribute certificates.
3.14
authority certificate
certificate issued to a certification authority or an attribute authority
[SOURCE: ISO/IEC 9594-8:2008, modified]
3.15
authority revocation list
ARL
revocation list containing a list of public key certificates issued to authorities, which are no longer
considered valid by the certificate issuer
3.16
authorization
granting of privileges, which includes the granting of privileges to access data and functions
[SOURCE: ISO 7498-2:1989, modified]
3.17
authority certificate
certificate issued to an authority (e.g. either to a certification authority or to an attribute authority)
3.18
authorization credential
signed assertion of a user’s permission attributes
3.19
availability
property of being accessible and useable upon demand by an authorized entity
[SOURCE: ISO 7498-2:1989]
3.20
base CRL
CRL that is used as the foundation in the generation of a dCRL
3.21
business partner agreement
document used to demarcate the legal, ethical, and practical responsibilities between subscribers to a
PMI and between cooperating PMI implementations
3.22
CA certificate
certificate for one CA issued by another CA
3.23
certificate
public key certificate
3.24
certificate distribution
act of publishing certificates and transferring certificates to security subjects
3.25
certificate management
procedures relating to certificates: certificate generation, certificate distribution, certificate archiving,
and revocation
3.26
certificate policy
named set of rules that indicates the applicability of a certificate to a particular community and/or class
of application with common security requirements
Note 1 to entry: For example, a particular certificate policy might indicate applicability of a type of certificate to
the authentication of electronic data interchange transactions for the trading of goods within a given price range.
3.27
certificate revocation
act of removing any reliable link between a certificate and its certificate holder because the certificate
is not trusted anymore whereas it is unexpired
3.28
certificate revocation list
CRL
asigned list indicating a set of certificates that are no longer considered valid by the certificate issuer
Note 1 to entry: In addition to the generic term CRL, some specific CRL types are defined for CRLs that cover
particular scopes. A published list of the suspended and revoked certificates (digitally signed by the CA).
3.29
certificate serial number
integer value, unique within the issuing authority, which is unambiguously associated with a certificate
issued by that CA
3.30
certificate suspension list
CSL
published list of the suspended certificates (digitally signed by the CA)
3.31
certificate user
entity that needs to know, with certainty, the public key of another entity
3.32
certificate using system
implementation of those functions defined in this part of ISO 22600 that are used by a certificate user
3.33
certificate validation
process of ensuring that a certificate was valid at a given time, including possibly the construction and
processing of a certification path, and ensuring that all certificates in that path were valid (i.e. were not
expired or revoked) at that given time
4 © ISO 2014 – All rights reserved
3.34
certificate verification
verifying that a certificate is authentic
3.35
certification authority
CA
certificate issuer; an authority trusted by one or more relying parties to create, assign, and manage
certificates
[SOURCE: ISO 9594-8:2008]
Note 1 to entry: Optionally, the certification authority can create the relying parties’ keys.
Note 2 to entry: Entity that issues certificates by signing certificate data with its private signing key.
Note 3 to entry: Authority in the CA term does not imply any government authorization, only that it is trusted.
Certificate issuer can be a better term but CA is used very broadly.
3.36
certification authority revocation list
CARL
revocation list containing a list of public key certificates issued to certification authorities, that are no
longer considered valid by the certificate issuer
3.37
certification path
ordered sequence of certificates of objects in the DIT which, together with the public key of the initial
object in the path, can be processed to obtain that of the final object in the path
3.38
ciphertext
data produced through the use of encipherment
Note 1 to entry: The semantic content of the resulting data is not available.
[SOURCE: ISO 7498-2:1989]
3.39
claimant
entity requesting that a sensitive service be performed or provided by a verifier, based on the claimant’s
privileges as identified in their attribute certificate or subject directory attributes extension of their
public key certificate
3.40
confidentiality
property that information is not made available or disclosed to unauthorized individuals, entities, or
processes
[SOURCE: ISO 7498-2:1989]
3.41
consent
special policy which defines an agreement between an entity playing the role of the subject of an act and
an entity acting
3.42
credential
prerequisite issued evidence for the entitlement of, or the eligibility for, a role; information describing
the security attributes (identity or privilege or both) of a principal
Note 1 to entry: Credentials are claimed through authentication or delegation and used by access control.
3.43
CRL distribution point
directory entry or other distribution source for CRLs
Note 1 to entry: A CRL distributed through a CRL distribution point can contain revocation entries for only a
subset of the full set of certificates issued by one CA or can contain revocation entries for multiple CAs.
3.44
cryptography
discipline which embodies principles, means, and methods for the transformation of data in order to
hide its information content, prevent its undetected modification, and/or prevent its unauthorized use
[SOURCE: ISO 7498-2:1989]
3.45
cryptographic algorithm
cipher
method for the transformation of data in order to hide its information content, prevent its undetected
modification, and/or prevent its unauthorized use
[SOURCE: ISO 7498-2:1989]
3.46
cryptographic system
cryptosystem
collection of transformations from plaintext into ciphertext and vice versa, the particular
transformation(s) to be used being selected by keys
Note 1 to entry: The transformations are normally defined by a mathematical algorithm.
3.47
data confidentiality
service that can be used to provide for protection of data from unauthorized disclosure
Note 1 to entry: The data confidentiality service is supported by the authentication framework. It can be used to
protect against data interception.
3.48
data integrity
property that data has not been altered or destroyed in an unauthorized manner
[SOURCE: ISO 7498-2:1989]
3.49
data origin authentication
corroboration that the source of data received is as claimed
[SOURCE: ISO 7498-2:1989]
3.50
decipherment
decryption
process of obtaining, from a ciphertext, the original corresponding data
[SOURCE: ISO/IEC 2382-8:1998]
Note 1 to entry: A ciphertext can be enciphered a second time, in which case a single decipherment does not
produce the original plaintext.
3.51
delegation
conveyance of privilege from one entity that holds such privilege, to another entity
6 © ISO 2014 – All rights reserved
3.52
delegation path
ordered sequence of certificates which, together with authentication of a privilege asserter’s identity,
can be processed to verify the authenticity of a privilege asserter’s privilege
3.53
delta CRL
dCRL
partial revocation list that only contains entries for certificates that have had their revocation status
changed since the issuance of the referenced base CRL
3.54
digital signature
data appended to, or a cryptographic transformation [see cryptography (3.44)] of, a data unit that allows
a recipient of the data unit to prove the source and integrity of the data unit and protect against forgery
e.g. by the recipient
[SOURCE: ISO 7498-2:1989]
3.55
encipherment
encryption
cryptographic transformation of data [see cryptography (3.44)] to produce ciphertext
[SOURCE: ISO 7498-2:1989]
3.56
end entity
certificate subject that uses its private key for purposes other than signing certificates or an entity that
is a relying party
3.57
end-entity attribute certificate revocation list
EARL
revocation list containing a list of attribute certificates that are no longer considered valid by the
certificate issuer and that were issued to certificate holders that were not also AAs
3.58
end-entity public key certificate revocation list
EPRL
revocation list containing a list of public key certificates issued to subjects that are not also CAs, that are
no longer considered valid by the certificate issuer
3.59
environmental variables
aspects of policy required for an authorization decision that are not contained within static structures,
but are available through some local means to a privilege verifier (e.g. time of day or current account
balance)
3.60
full CRL
complete revocation list that contains entries for all certificates that have been revoked for the given
scope
3.61
functional role
role which is bound to an act
Note 1 to entry: Functional roles can be assigned to be performed during an act.
Note 2 to entry: Functional roles correspond to the ISO/HL7 21731 RIM participation.
Note 3 to entry: See also structural role (3.105).
[SOURCE: ISO 21298:—, definition 3.10, modified]
3.62
hash function
(mathematical) function which maps values from a large (possibly very large) domain into a smaller
range
Note 1 to entry: A “good” hash function is such that the results of applying the function to a (large) set of values in
the domain will be evenly distributed (and apparently at random) over the range.
3.63
holder
entity to whom some privilege has been delegated either directly from the source of authority or
indirectly through another attribute authority
3.64
identification
performance of tests to enable a data processing system to recognize entities
[SOURCE: ISO/IEC 2382-8:1998]
3.65
identifier
piece of information used to claim an identity, before a potential corroboration by a corresponding
authenticator
[SOURCE: ENV 13608-1:2000]
3.66
indirect CRL
iCRL
revocation list that at least contains revocation information about certificates issued by authorities
other than that which issued this CRL
3.67
integrity
proof that the message content has not been altered, deliberately or accidentally in any way, during
transmission
[SOURCE: ISO 7498-2:1989]
3.68
key
sequence of symbols that controls the operations of encipherment and decipherment
[SOURCE: ISO 7498-2:1989]
3.69
key agreement
method for negotiating a key value online without transferring the key, even in an encrypted form, e.g.
the Diffie-Hellman technique
Note 1 to entry: See ISO/IEC 11770-1:2010 for more information on key agreement mechanisms.
3.70
key management
generation, storage, distribution, deletion, archiving, and application of keys in accordance with a
security policy
[SOURCE: ISO 7498-2:1989]
8 © ISO 2014 – All rights reserved
3.71
lightweight directory access protocol
LDAP
standard access protocol for directories allowing public or controlled access to certificates and other
information needed in a PKI
3.72
non-repudiation
service providing proof of the integrity and origin of data (both in an unforgeable relationship) which
can be verified by any party
[SOURCE: ISO 17090-1:2013]
3.73
object identifier
OID
unique alphanumeric/numeric identifier registered under the ISO registration standard to reference a
specific object or object class
Note 1 to entry: This is a name for a certificate policy that is recorded in a field of each certificate issued in
conformance with the policy.
3.74
object method
action that can be invoked on a resource (e.g. a file system can have read, write, and execute object
methods)
3.75
one-way function
(mathematical) function f which is easy to compute, but which for a general value y in the range, it is
computationally difficult to find a value x in the domain such that f(x) = y
Note 1 to entry: There can be a few values y for which finding x is not computationally difficult.
3.76
certificate holder
entity that is named as the subject of a valid certificate
3.77
permission
approval for performing an operation on one or more RBAC protected objects
[SOURCE: INCITS 359-2004]
3.78
policy
set of legal, political, organizational, functional, and technical obligations or omissions for communication
and cooperation
3.79
policy agreement
written agreement where all involved parties commit themselves to a specified set of policies
3.80
policy decision point
PDP
system entity that evaluates applicable policy and renders an authorization decision
Note 1 to entry: This term is defined in a joint effort by the IETF Policy Framework Working Group and the
Distributed Management Task Force (DMTF)/Common Information Model (CIM) in RFC 3198:2001.
Note 2 to entry: This term corresponds to “Access Decision Function” (ADF) in ISO/IEC 10181-3:1996.
3.81
policy enforcement point
PEP
system entity that performs access control, by making decision requests and enforcing authorization
decisions
Note 1 to entry: This term is defined in a joint effort by the IETF Policy Framework Working Group and the
Distributed Management Task Force (DMTF)/Common Information Model (CIM) in RFC 3198:2001.
Note 2 to entry: This term corresponds to “Access Enforcement Function” (AEF) in ISO/IEC 10181-3:1996.
3.82
policy mapping
recognizing that, when a CA in one domain certifies a CA in another domain, a particular certificate
policy in the second domain can be considered by the authority of the first domain to be equivalent (but
not necessarily identical in all respects) to a particular certificate policy in the first domain
3.83
principal
human users and objects that need to operate under their own rights
[SOURCE: OMG Security Services Specification:2001]
3.84
private key
key that is used with an asymmetric cryptographic algorithm and whose possession is restricted
(usually to only one entity)
[SOURCE: ISO/IEC 10181-1:1996]
3.85
privilege
capacity assigned to an entity by an authority according to the entity’s attribute
3.86
privilege asserter
privilege holder using their attribute certificate or public key certificate to assert privilege
3.87
privilege management infrastructure
PMI
infrastructure able to support the management of privileges in support of a comprehensive authorization
service and in relationship with a public key infrastructure
3.88
privilege policy
policy that outlines conditions for privilege verifiers to provide/perform sensitive services to/for
qualified privilege asserters
Note 1 to entry: Privilege policy relates attributes associated with the service as well as attributes associated
with privilege asserters.
3.89
privilege verifier
entity verifying certificates against a privilege policy
3.90
public key
key that is used with an asymmetric cryptographic algorithm and that can be made publicly available
[SOURCE: ISO/IEC 10181-1:1996]
10 © ISO 2014 – All rights reserved
3.91
public key certificate
X.509 public key certificates (PKCs), binding an identity and a public key
[SOURCE: ISO/IEC 9594-8:2008]
Note 1 to entry: The identity can be used to support identity-based access control decisions after the client proves
that it has access to the private key that corresponds to the public key contained in the PKC.
[SOURCE: RFC 2459]
3.92
public key infrastructure
PKI
infrastructure used in the relation between a key holder and a relying party that allows a relying party
to use a certificate relating to the key holder for at least one application using a public key-dependent
security service
Note 1 to entry: PKI includes a certification authority, a certificate data structure, means for the relying party
to obtain current information on the revocation status of the certificate, a certification policy, and methods to
validate the certification practice.
3.93
relying party
recipient of a certificate who acts in reliance on that certificate and/or digital signature verified using
that certificate
[SOURCE: RFC 2527:1999]
3.94
role
set of competences and/or performances that are associated with a task
[SOURCE: ISO 21298:—, definition 3.22]
Note 1 to entry: For managing role relationships between the entities, structural and functional roles can be
defined.
3.95
role assignment certificate
certificate that contains the role attribute, assigning one or more roles to the certificate holder
3.96
role certificate
certificate that assigns privileges to a role rather than directly to individuals
Note 1 to entry: Individuals assigned to that role, through an attribute certificate or public key certificate with
a subject directory attributes extension containing that assignment, are indirectly assigned the privileges
contained in the role certificate.
3.97
role specification certificate
certificate that contains the assignment of privileges to a role
3.98
sensitivity
characteristic of a resource that implies its value or importance
3.99
security
combination of availability, confidentiality, integrity, and accountability
[SOURCE: ENV 13608-1:2000]
3.100
security policy
plan or course of action adopted for providing computer security
[SOURCE: ISO/IEC 2382-8:1998]
Note 1 to entry: This is a set of rules laid down by the security authority governing the use and provision of
security services and facilities.
3.101
security service
service, provided by a layer of communicating open systems, which ensures adequate security of the
systems or of data transfers
[SOURCE: ISO 7498-2:1989]
3.102
simple authentication
authentication by means of simple password arrangements
3.103
source of authority
SoA
attribute authority that a privilege verifier for a particular resource trusts as the ultimate authority to
assign a set of privileges
Note 1 to entry: This is a special type of attribute authority upon which a verifier endows unlimited privilege.
Note 2 to entry: The verifier trusts the source of authority to delegate that privilege to certificate holders, some
of which can further delegate that privilege to other certificate holders.
3.104
strong authentication
authentication by means of cryptographically derived multi-factor credentials
3.105
structural role
role specifying relations between entities in the sense of competence, often reflecting organizational or
structural relations (hierarchies)
Note 1 to entry: Structural roldes corresponde to the ISO7HL7 21731 RIM role.
Note 2 to entry: See also functional role (3.61).
[SOURCE: ISO 21298:—, definition 3.27, modified]
3.106
target
resource being accessed by a claimant
Note 1 to entry: Its sensitivity is modelled in this part of ISO 22600 as a collection of attributes, represented as
either ASN.1 attributes or XML elements.
3.107
trust
circumstance existing between two entities whereby one entity makes the assumption that the other
entity will behave exactly as the first entity expects
Note 1 to entry: This trust applies only for a specific function. The key role of trust in this framework is to describe
the relationship between an authenticating entity and an authority; an entity must be certain that it can trust the
authority to create only valid and reliable certificates.
12 © ISO 2014 – All rights reserved
3.108
third party
party other than data originator, or data recipient, required to perform a security function as part of a
communication protocol
3.109
trusted third party
TTP
third party which is considered trusted for purposes of a security protocol
[SOURCE: ENV 13608-1:2000]
Note 1 to entry: This term is used in many ISO/IEC standards and other documents describing mainly the services
of a CA. The concept is however broader and includes services like time stamping and possibly escrowing. TTPs
provide basic services, infrastructural services, and value added services.
3.110
verifier
entity responsible for performing or providing a sensitive service for/to qualified claimants
Note 1 to entry: The verifier enforces the privilege policy. When validating certification paths, a verifier is a type
of relying party.
4 Abbreviated terms
This list of abbreviations includes all abbreviations used in all three parts of this International Standard.
AA Attribute Authority
AARL Attribute Authority Revocation List
ACO Access Control Information
ACRL Attribute Certificate Revocation List
ADF Access Decision Function
ADI Access Control Decision Information
AEF Access Enforcement Function
ANSI American National Standards Institute
ARL Authority Revocation List
CA Certification Authority
CARL Certification Authority Revocation List
CIM Common Information Model
COBRA Common Object Request Broker Architecture
CRL Certificate Revocation List
dCRL Delta Certificate Revocation List
DAP Directory
...
NORME ISO
INTERNATIONALE 22600-3
Première édition
2014-10-01
Informatique de santé — Gestion de
privilèges et contrôle d’accès —
Partie 3:
Mises en oeuvre
Health informatics — Privilege management and access control —
Part 3: Implementations
Numéro de référence
©
ISO 2014
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2014
Droits de reproduction réservés. Sauf indication contraire, aucune partie de cette publication ne peut être reproduite ni utilisée
sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie, l’affichage sur
l’internet ou sur un Intranet, sans autorisation écrite préalable. Les demandes d’autorisation peuvent être adressées à l’ISO à
l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Publié en Suisse
ii © ISO 2014 – Tous droits réservés
Sommaire Page
Avant-propos .iv
Introduction .v
1 Domaine d’application . 1
2 Références normatives . 1
3 Termes et définitions . 2
4 Abréviations .14
5 Structures et services de gestion des privilèges et de contrôle d’accès .16
6 Interprétation des modèles formels de l’ISO 22600-2 dans le cadre des soins de santé .20
7 Représentation conceptuelle des systèmes d’informations de santé .20
7.1 Vue d’ensemble .20
7.2 Langages de domaine .21
7.3 Modélisation de contrainte en langage OCL .22
7.4 Autres représentations de contrainte .22
8 Consentement .24
8.1 Vue d’ensemble .24
8.2 Consentement du patient .25
8.3 Gestion des consentements des patients .25
9 Accès d’urgence .25
10 Affinement du modèle de contrôle .25
11 Affinement du modèle de délégation .26
Annexe A (informative) Infrastructure de gestion des privilèges .27
Annexe B (informative) Extensions de certificat d’attribut .68
Annexe C (informative) Comparaison terminologique .70
Annexe D (informative) Exemples de gestion de politique et de représentation de politique .71
Bibliographie .74
Avant-propos
L’ISO (Organisation internationale de normalisation) est une fédération mondiale d’organismes
nationaux de normalisation (comités membres de l’ISO). L’élaboration des Normes internationales est
en général confiée aux comités techniques de l’ISO. Chaque comité membre intéressé par une étude
a le droit de faire partie du comité technique créé à cet effet. Les organisations internationales,
gouvernementales et non gouvernementales, en liaison avec l’ISO participent également aux travaux.
L’ISO collabore étroitement avec la Commission électrotechnique internationale (IEC) en ce qui concerne
la normalisation électrotechnique.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient en particulier de prendre note des différents
critères d’approbation requis pour les différents types de documents ISO. Le présent document a été
rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2, (voir www.
iso.org/directives).
L’attention est appelée sur le fait que certains des éléments du présent document peuvent faire l’objet de
droits de propriété intellectuelle ou de droits analogues. L’ISO ne saurait être tenue pour responsable
de ne pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails concernant les
références aux droits de propriété intellectuelle ou autres droits analogues identifiés lors de l’élaboration
du document sont indiqués dans l’Introduction et/ou sur la liste ISO des déclarations de brevets reçues
(voir www.iso.org/patents).
Les éventuelles appellations commerciales utilisées dans le présent document sont données pour
information à l’intention des utilisateurs et ne constituent pas une approbation ou une recommandation.
Pour une explication de la signification des termes et expressions spécifiques de l’ISO liés à l’évaluation de
la conformité, aussi bien que pour des informations au sujet de l’adhésion de l’ISO aux principes de l’OMC
concernant les obstacles techniques au commerce (OTC), voir le lien suivant: Foreword - Supplementary
information.
Le comité chargé de l’élaboration du présent document est l’ISO/TC 215, Informatique de santé.
Cette première édition de l’ISO 22600-3 annule et remplace l’ISO/TS 22600-3:2009, qui a fait l’objet
d’une révision technique.
L’ISO 22600 comprend les parties suivantes, présentées sous le titre général Informatique de santé —
Gestion de privilèges et contrôle d’accès:
— Partie 1: Vue d’ensemble et gestion des politiques
— Partie 2: Modèles formels
— Partie 3: Mises en œuvre
iv © ISO 2014 – Tous droits réservés
Introduction
L’architecture répartie des systèmes d’informations de soins partagés prenant en charge l’architecture
orientée service s’appuie de plus en plus sur des réseaux d’entreprise et des réseaux privés virtuels.
Afin de relever le défi de l’interopérabilité, le recours à des interfaces utilisateur, outils et protocoles
normalisés qui garantissent l’indépendance d’une plateforme s’est généralisé, tout comme le nombre
de systèmes d’informations réellement ouverts a rapidement augmenté au cours des dernières années.
À l’heure actuelle, il est très fréquent que des hôpitaux aient recours à plusieurs vendeurs qui leur installent
des applications qui ne sont pas en mesure de communiquer une authentification et une autorisation,
puisque chaque application a sa propre manière de gérer ces fonctions. Aboutir à un scénario intégré
demanderait d’investir beaucoup d’argent, de temps et d’efforts pour faire correspondre dynamiquement
des utilisateurs et des environnements organisationnels changeants, avant même de démarrer une
communication et une coopération. Les ressources requises pour le développement et la maintenance
des fonctions de sécurité augmentent de façon exponentielle parallèlement au nombre d’applications, à
l’évolution toujours plus complexe des organisations vers un niveau régional, national voire international
et à la flexibilité des utilisateurs jouant des rôles multiples, parfois même simultanément.
La situation s’avère même encore plus compliquée lorsqu’il s’agit de communications
inter-organisationnelles qui, comme leur nom le laisse entendre, excèdent les limites d’un domaine
de politique de sécurité. D’un centre de soins à un autre ou d’un pays à un autre, les règles régissant
les privilèges et leur gestion peuvent différer pour des types d’utilisateurs similaires, aussi bien pour
l’exécution de fonctions particulières que pour l’accès aux informations. Les différences de politiques
entre ces domaines doivent être comblées automatiquement ou via des accords de politique définissant
des ensembles de règles que les parties concernées doivent respecter, pour assurer l’interopérabilité.
Améliorer la qualité des soins grâce aux technologies de l’information (TI) sans pour autant violer la vie
privée du patient constitue un autre défi à relever. Afin que les médecins puissent disposer d’informations
pertinentes sur leurs patients, il est nécessaire de mettre en place un dossier informatisé de soins de
santé, permettant de garder une trace de toutes les activités associées à un patient donné, quels que
soient le lieu où ces activités ont été menées et la personne qui les a effectuées ou documentées. Dans
ce contexte, il est nécessaire de disposer d’un modèle général ou d’un accord spécifique passé entre les
parties pour pouvoir gérer les privilèges et le contrôle d’accès aux informations incluant le patient ou
son représentant.
Outre la diversité des rôles et responsabilités qui caractérise tout type de grande organisation, il est
important de prendre également en considération les questions éthiques et légales qui se posent dans le
cadre d’un scénario de soins de santé, en raison de la sensibilité des informations gérées, liées à la santé
de la personne, et de leur impact personnel et social.
Même si la gestion des privilèges et le contrôle d’accès requièrent d’ores et déjà la mise en œuvre de
solutions perfectionnées, ce besoin se fera davantage ressentir dans les prochaines années. Cela est dû à
l’augmentation du nombre d’informations échangées entre systèmes afin de répondre aux exigences des
prestataires de services de santé à différents niveaux de soins, qui veulent pouvoir accéder à toujours
plus d’informations sur le patient afin de garantir la qualité et l’efficacité des diagnostics et traitements
qui lui sont délivrés, même si cela implique des risques accrus en termes de sécurité et de respect de la
vie privée.
La présente Norme internationale constitue une avancée technologique telle que certains établissements
techniques et organisationnels peuvent juger son application infaisable dans l’état actuel des choses.
Par conséquent, afin de satisfaire au principe de base qui consiste à entreprendre la meilleure action
possible, il est très important que les différentes parties impliquées rédigent au moins un accord de
politique explicitant la volonté d’évoluer dans le sens de la présente Norme internationale si des mises à
jour/mises à niveau sont prévues. Le niveau de formalisation et de granularité des politiques et les objets
auxquels ces politiques sont liées définissent la maturité de la solution par rapport à la spécification
présentée.
L’accord de politique doit également mentionner les différences qui ont été identifiées entre les
systèmes de sécurité ainsi que les solutions retenues pour pallier ces différences. Par exemple, le service
d’authentification et les privilèges d’un demandeur au niveau du site de réponse doivent être gérés
conformément à la politique déclarée dans l’accord. Pour cette raison, le demandeur d’informations et de
services ainsi que le fournisseur d’informations et de services d’une part, et les informations et services
demandés et fournis d’autre part, doivent être regroupés et classés selon un nombre limité de concepts
afin de pouvoir spécifier un nombre limité de catégories de solutions. Il est alors possible, sur la base de
cette classification, de mettre en œuvre des mécanismes d’ayants droits, de sensibilité des cibles ainsi
que de spécification et de gestion des politiques. Une fois l’accord de politique signé par la totalité des
parties impliquées, la communication et l’échange d’informations peuvent débuter en s’appuyant sur les
systèmes existants, si les parties peuvent en accepter les risques. En cas de risques inacceptables devant
être éliminés avant de débuter l’échange d’informations, ces risques doivent également être enregistrés
dans l’accord de politique, tout comme le plan d’actions explicitant la façon de supprimer ces risques.
L’accord de politique doit également inclure les échéances d’application du plan d’actions et ses moyens
de financement.
La documentation du processus de négociation est très importante et fournit la plateforme de l’accord
de politique.
La gestion des privilèges et le contrôle d’accès couvrent les services de sécurité et de respect de la
vie privée nécessaires à la communication et à la coopération, c’est-à-dire l’utilisation répartie des
informations de santé. Cela couvre également les aspects de sécurité et les normes professionnelles
ainsi que les questions légales et éthiques. La présente Norme internationale constitue une introduction
aux principes de gestion des privilèges et de contrôle d’accès et spécifie les services nécessaires à ces
activités. Les protocoles cryptographiques ne sont pas couverts par la présente Norme internationale.
La présente Norme internationale en trois parties comporte des références à des normes existantes
relatives à l’architecture et à la sécurité de même qu’à des spécifications dans le domaine des soins de
santé, comme des spécifications ISO, CEN, ASTM, OMG, W3C, etc., et est conforme à d’autres normes
pertinentes existantes ou sinon identifie les améliorations ou les modifications ou encore le besoin
d’élaborer de nouvelles normes. Elle se subdivise ainsi:
— ISO 22600-1: décrit les scénarios et les paramètres cruciaux de l’échange d’informations d’un
domaine de politique à un autre. Donne également des exemples des méthodes de documentation
nécessaires pouvant servir de base à l’établissement d’un accord de politique;
— ISO 22600-2: décrit et explique de manière plus détaillée les architectures et les modèles sous-jacents
de la gestion des privilèges et du contrôle d’accès nécessaires à la sécurisation du partage de données
incluant la représentation formelle des politiques;
— ISO 22600-3: donne des exemples détaillés de spécifications pouvant être mises en œuvre pour
les services de sécurité et les services d’infrastructure d’application dans différents langages de
spécification.
Elle prend en compte la mise en relation des politiques. Elle est fondée sur un modèle conceptuel dans
lequel des serveurs d’autorisation locaux et des services d’annuaires et de répertoires de politiques
trans-domaines peuvent faciliter le contrôle d’accès dans diverses applications (composants logiciels). Le
répertoire de politiques fournit des informations sur les règles d’accès à diverses fonctions d’application
sur la base des rôles et d’autres attributs. Le service d’annuaire permet une identification de l’utilisateur
individuel. L’accès sera accordé ou non sur la base des quatre aspects suivants:
— l’identification authentifiée des acteurs principaux (c’est-à-dire utilisateurs humains et objets qui
ont besoin de fonctionner avec leurs propres droits);
— les règles d’accès à un objet d’information particulier, notamment le but de l’utilisation;
— les règles applicables aux attributs d’autorisation associés à l’acteur principal, fournies par le
gestionnaire d’autorisation;
— les fonctions de l’application spécifique.
La présente Norme internationale prend en charge une collaboration entre plusieurs gestionnaires
d’autorisation qui peuvent fonctionner au-delà des limites organisationnelles et de politique.
vi © ISO 2014 – Tous droits réservés
La présente Norme internationale est en relation étroite avec d’autres documents élaborés par le comité
technique ISO/TC 215, tels que l’ISO 17090 (toutes les parties), l’ISO 22857, l’ISO 21091 et l’ISO 21298.
Les personnes qui liront la présente Norme internationale devront également lire toutes les normes
associées.
Sur la base du processus unifié, un modèle de référence architectural en trois dimensions a été obtenu en
vue d’une définition des modèles de contrainte nécessaires. Les dimensions du modèle de composante
général utilisé sont l’axe «domaine», l’axe «décomposition/composition» et l’axe décrivant les points de
vue sur un système et ses composantes. Afin d’obtenir un système à l’épreuve du temps, durable, souple,
portable et évolutif, seul le processus de contrainte et les métamodèles associés à la sécurité résultants
sont présentés. L’instanciation et la mise en œuvre, par exemple la spécification de mécanismes et de
définitions de codage, forment un processus de longue haleine, dédié à d’autres normes et projets ou à la
communauté de vendeurs/fournisseurs, respectivement.
Après un bref résumé des concepts de base de l’ISO 22600-2, les différentes façons de représenter des
niveaux différents de maturité avec des niveaux différents d’interopérabilité en dessous de la situation
idéale valable d’un point de vue sémantique sont décrites.
Pour ces différents environnements et niveaux, la présente partie de l’ISO 22600 introduit des exemples
de spécialisation et de mise en œuvre des modèles formels de haut niveau pour les composantes
architecturales, basés sur l’ISO/IEC 10746 et définis dans l’ISO 22600-2. Ces exemples et les services
associés sont regroupés dans des annexes différentes.
Les spécifications sont fournies via des dérivés du langage XML, en particulier les langages SAML et
XACML spécifiés par l’organisation OASIS. Des spécifications supplémentaires sont également présentées
dans la syntaxe ASN.1 traditionnelle.
La présente Norme internationale a été harmonisée dans ses parties essentielles avec l’ASTM E2595-07.
NORME INTERNATIONALE ISO 22600-3:2014(F)
Informatique de santé — Gestion de privilèges et contrôle
d’accès —
Partie 3:
Mises en oeuvre
1 Domaine d’application
La présente Norme internationale, subdivisée en plusieurs parties, définit les principes de gestion des
privilèges et de contrôle d’accès aux données et/ou aux fonctions et spécifie les services nécessaires à
ces activités.
Elle se concentre sur la communication et l’utilisation des informations de santé réparties au-delà des
limites d’un domaine de politique. Cela inclut le partage d’informations de santé entre prestataires
de soins de santé non affiliés, organisations de soins de santé, sociétés d’assurance-maladie, patients,
membres du personnel et partenaires commerciaux, par des individus tout comme par des systèmes
d’application utilisés dans un contexte local, voire régional ou même national.
Elle spécifie les concepts nécessaires pour chaque composante et est destinée à venir à l’appui de leur
mise en œuvre technique. Elle ne spécifiera pas l’utilisation de ces concepts pour des cheminements de
processus cliniques particuliers.
La présente partie de l’ISO 22600 instancie les exigences applicables aux répertoires de politiques de
contrôle d’accès et les exigences applicables aux infrastructures de gestion des privilèges. Elle fournit
des exemples de mise en œuvre des modèles formels spécifiés dans l’ISO 22600-2.
La présente partie de l’ISO 22600 exclut les détails propres à une plateforme ainsi que les détails de mise
en œuvre. Elle ne spécifie pas les services de sécurité, les techniques d’authentification ni les protocoles
de communication techniques qui ont été établis dans d’autres Normes internationales telles que, par
exemple, l’ISO 7498-2, l’ISO/IEC 10745 (ITU-T X.803), l’ISO/IEC/TR 13594 (ITU-T X.802), l’ISO/IEC 10181-
1 (ITU-T X.810), l’ISO/IEC 9594-8 (ITU-T X.509), l’ISO/IEC 9796 (toutes les parties), l’ISO/IEC 9797
(toutes les parties) et l’ISO/IEC 9798 (toutes les parties).
2 Références normatives
Les documents ci-après, dans leur intégralité ou non, sont des références normatives indispensables à
l’application du présent document. Pour les références datées, seule l’édition citée s’applique. Pour les
références non datées, la dernière édition du document de référence s’applique (y compris les éventuels
amendements).
ISO/IEC 9594-8, Technologies de l’information — Interconnexion de systèmes ouverts (OSI) — L’annuaire —
Partie 8: Cadre général des certificats de clé publique et d’attribut
ISO/IEC 10181-3, Technologies de l’information — Interconnexion de systèmes ouverts (OSI) — Cadres de
sécurité pour les systèmes ouverts: Cadre de contrôle d’accès — Partie 3
ASTM E2084-00, Standard Specification for Authentication of Healthcare Information Using Digital
Signatures
3 Termes et définitions
3.1
contrôle d’accès
ensemble des moyens garantissant que seules les entités autorisées peuvent accéder aux ressources
d’un système informatique, et seulement d’une manière autorisée
[SOURCE: ISO/IEC 2382-8:1998]
3.2
fonction de prise de décision concernant le contrôle d’accès
ADF
fonction spécialisée prenant des décisions concernant le contrôle d’accès par l’application des règles de
la politique de contrôle d’accès à une action demandée
3.3
fonction d’application de contrôle d’accès
AEF
fonction spécialisée qui fait partie du chemin d’accès entre un demandeur et une ressource protégée, qui
applique les décisions prises par la fonction de prise de décision concernant le contrôle d’accès
3.4
informations de contrôle d’accès
informations utilisées à des fins de contrôle d’accès, incluant les informations contextuelles
3.5
imputabilité
propriété qui garantit que les actions d’une entité ne peuvent être imputées qu’à cette entité
[SOURCE: ISO 7498-2:1989]
3.6
algorithme asymétrique de cryptographie
algorithme pour réaliser le chiffrement ou le déchiffrement correspondant dans lequel les clés utilisées
pour le chiffrement et le déchiffrement sont différentes
[SOURCE: ISO/IEC 10181-1:1996]
3.7
autorité d’attribut
AA
autorité qui assigne des privilèges par l’émission de certificats d’attribut
[SOURCE: ISO/IEC 9594-8:2008]
3.8
liste de révocation d’autorité d’attribut
AARL
liste de révocation contenant une liste de références à des certificats d’attribut qui ont été délivrés à
des autorités d’attribut mais ne sont plus considérés comme étant valides par l’autorité d’émission de
certificat
3.9
certificat d’attribut
structure de données, ayant été signée électroniquement par une autorité d’attribut, qui lie certaines
valeurs d’attribut à une identification de son détenteur
[SOURCE: ISO/IEC 9594-8:2008]
2 © ISO 2014 – Tous droits réservés
3.10
liste de révocation de certificat d’attribut
ACRL
liste de révocation contenant une liste de références à des certificats d’attribut qui ne sont plus considérés
comme étant valides par l’autorité d’émission de certificat
3.11
authentification
moyen pour une entité d’assurer la légitimité d’une identité revendiquée par l’association sécurisée d’un
identifiant et de son authentifiant
[SOURCE: ISO/IEC 15944-5:2008, 3.5]
Note 1 à l’article: Voir aussi authentification de l’origine des données (3.49) et «authentification de l’entité
homologue».
3.12
jeton d’authentification
informations acheminées au cours d’un strict échange d’authentification, qui peuvent être utilisées pour
authentifier son expéditeur
3.13
autorité
entité responsable de l’émission des certificats
Note 1 à l’article: Deux types d’autorités sont définis dans la présente partie de l’ISO 22600, à savoir l’autorité de
certification qui émet des certificats de clé publique et l’autorité d’attribut qui émet des certificats d’attribut.
3.14
certificat d’autorité
certificat délivré à une autorité de certification ou à une autorité d’attribut
[SOURCE: ISO/IEC 9594-8:2008, modifié]
3.15
liste de révocation d’autorité
ARL
liste de révocation contenant une liste de certificats de clé publique qui ont été délivrés à des autorités
mais ne sont plus considérés comme étant valides par l’émetteur de certificat
3.16
autorisation
attribution de privilèges comprenant la délivrance de privilèges donnant accès à des données et fonctions
[SOURCE: ISO 7498-2:1989, modifié]
3.17
certificat d’autorité
certificat délivré à une autorité (par exemple, à une autorité de certification ou à une autorité d’attribut)
3.18
justificatif d’identité d’autorisation
déclaration signée d’attributs de permission d’un utilisateur
3.19
disponibilité
propriété d’être accessible et utilisable sur demande par une entité autorisée
[SOURCE: ISO 7498-2:1989]
3.20
liste de révocation de certificat de base
liste de révocation de certificat qui sert de fondement à la génération d’une liste de révocation de
certificat delta
3.21
accord entre partenaires métier
document utilisé pour délimiter les responsabilités légales, éthiques et pratiques entre des abonnés
d’une infrastructure de gestion des privilèges et entre des implémentations d’infrastructures de gestion
des privilèges qui coopèrent
3.22
certificat d’autorité de certification
certificat qu’une autorité de certification a délivré à une autre autorité de certification
3.23
certificat
certificat de clé publique
3.24
distribution de certificat
acte consistant à publier des certificats et à les délivrer à des sujets de sécurité
3.25
gestion des certificats
procédures se rapportant aux certificats: génération de certificat, distribution de certificat, archivage
de certificat et révocation
3.26
politique de certificat
ensemble nommé de règles qui indique l’applicabilité d’un certificat à une communauté d’application
et/ou à une classe d’application particulières ayant des exigences de sécurité communes
Note 1 à l’article: Par exemple, une politique de certificat particulière peut indiquer l’applicabilité d’un type de
certificat à l’authentification de transactions d’échange de données électroniques pour la commercialisation de
biens au sein d’une gamme de prix donnée.
3.27
révocation de certificat
acte consistant à supprimer tout lien fiable entre un certificat et son détenteur du fait que le certificat
n’est plus approuvé alors qu’il n’a pas expiré
3.28
liste de révocation de certificat
CRL
liste signée indiquant un ensemble de certificats qui ne sont plus considérés comme étant valides par
l’émetteur de certificat
Note 1 à l’article: Outre le terme de liste CRL général, certains types de listes CRL spécifiques sont définis pour
des listes CRL qui couvrent des portées particulières. Liste publiée des certificats suspendus et révoqués (signée
électroniquement par l’autorité de certification).
3.29
numéro de série de certificat
entier unique au sein de l’autorité d’émission, qui est associé de manière univoque à un certificat émis
par cette autorité de certification
3.30
liste de suspension de certificat
CSL
liste publiée des certificats suspendus (signée électroniquement par l’autorité de certification)
4 © ISO 2014 – Tous droits réservés
3.31
utilisateur de certificat
entité qui a besoin de connaître, avec certitude, la clé publique d’une autre entité
3.32
système utilisateur de certificat
implémentation des fonctions définies dans la présente partie de l’ISO 22600 qui sont utilisées par un
utilisateur de certificat
3.33
validation de certificat
processus garantissant qu’un certificat était valide à un instant donné, incluant éventuellement la
construction et le traitement d’un chemin de certification, et garantissant que tous les certificats de ce
chemin étaient valides au même instant, c’est-à-dire qu’ils n’avaient pas expiré ou qu’ils n’avaient pas été
révoqués
3.34
vérification de certificat
vérification de l’authenticité d’un certificat
3.35
autorité de certification
CA
émetteur de certificat; autorité de confiance déclarée compétente par une ou plusieurs parties
utilisatrices en matière de création, de délivrance et de gestion de certificats
[SOURCE: ISO 9594-8:2008]
Note 1 à l’article: L’autorité de certification peut éventuellement créer les clés de parties utilisatrices.
Note 2 à l’article: Entité qui émet des certificats en signant les données de certificat à l’aide de sa clé de signature
privée.
Note 3 à l’article: La notion d’autorité incluse dans le terme «autorité de certification» n’implique en rien une
autorisation gouvernementale mais véhicule simplement une notion de confiance. Le terme «émetteur de
certificat» est peut-être moins ambigu, mais le terme «autorité de certification» est très largement employé.
3.36
liste de révocation d’autorité de certification
CARL
liste de révocation contenant une liste de certificats de clé publique qui ont été délivrés à des autorités
de certification mais ne sont plus considérés comme étant valides par l’émetteur de certificat
3.37
chemin de certification
séquence ordonnée de certificats d’objet dans l’arbre d’informations d’annuaire (ou arbre DIT) qui,
lorsqu’ils sont associés à la clé publique de l’objet initial dans le chemin, peuvent être traités pour obtenir
le certificat de l’objet final dans le chemin
3.38
cryptogramme
données obtenues par l’utilisation du chiffrement
Note 1 à l’article: Le contenu sémantique des données résultantes n’est pas compréhensible.
[SOURCE: ISO 7498-2:1989]
3.39
prétendant
entité demandant qu’un service sensible soit effectué ou fourni par un vérificateur, sur la base des
privilèges du prétendant identifiés dans son certificat d’attribut ou dans l’extension d’attributs
d’annuaire de sujet de son certificat de clé publique
3.40
confidentialité
propriété d’une information qui n’est ni disponible, ni divulguée aux personnes, entités ou processus
non autorisés
[SOURCE: ISO 7498-2:1989]
3.41
consentement
politique particulière qui définit un accord entre une entité qui joue le rôle du sujet d’un acte et une
entité qui agit
3.42
justificatif d’identité
preuve émise à des fins de conditions préalables concernant l’habilitation ou l’éligibilité à un rôle;
informations décrivant les attributs de sécurité (identité et/ou privilège) d’un acteur principal
Note 1 à l’article: Les justificatifs d’identité sont revendiqués par l’authentification ou la délégation et utilisés par
le contrôle d’accès.
3.43
point de répartition de liste CRL
entrée d’annuaire ou autre source de répartition pour les listes de révocation de certificat
Note 1 à l’article: Une liste CRL répartie par l’intermédiaire d’un point de répartition de liste CRL peut contenir
des entrées de révocation pour un seul sous-ensemble de l’ensemble complet des certificats émis par une même
autorité de certification ou peut contenir des entrées de révocation pour plusieurs autorités de certification.
3.44
cryptographie
discipline incluant les principes, moyens et méthodes de transformation des données, dans le but de
cacher leur contenu, d’empêcher que leur modification passe inaperçue et/ou d’empêcher leur utilisation
non autorisée
[SOURCE: ISO 7498-2:1989]
3.45
algorithme cryptographique
chiffrement
méthode de transformation des données, dans le but de cacher leur contenu, d’empêcher que leur
modification passe inaperçue et/ou d’empêcher leur utilisation non autorisée
[SOURCE: ISO 7498-2:1989]
3.46
système cryptographique
système de chiffrement
recueil de transformations faisant passer un texte en clair en cryptogramme et vice versa, la ou les
transformations particulières à utiliser étant sélectionnées par des clés
Note 1 à l’article: Les transformations sont habituellement définies par un algorithme mathématique.
3.47
confidentialité des données
service qui peut être utilisé pour assurer la protection des données vis-à-vis d’une divulgation non
autorisée
Note 1 à l’article: Le service de confidentialité des données est pris en charge par le cadre d’authentification. Il
peut être utilisé pour empêcher l’interception des données.
6 © ISO 2014 – Tous droits réservés
3.48
intégrité des données
propriété assurant que des données n’ont pas été modifiées ou détruites de façon non autorisée
[SOURCE: ISO 7498-2:1989]
3.49
authentification de l’origine des données
confirmation que la source des données reçues est telle que déclarée
[SOURCE: ISO 7498-2:1989]
3.50
déchiffrement
reconstitution, à partir d’un cryptogramme, des données originales correspondantes
[SOURCE: ISO/IEC 2382-8:1998]
Note 1 à l’article: Un cryptogramme peut être chiffré une deuxième fois; dans ce cas, un déchiffrement unique ne
restitue pas le texte en clair original.
3.51
délégation
transmission d’un privilège détenu par une entité à une autre entité
3.52
chemin de délégation
séquence ordonnée de certificats qui, lorsqu’ils sont associés à l’authentification de l’identité d’un
déclarant qui revendique un privilège, peuvent être traités pour vérifier l’authenticité du privilège que
ce déclarant revendique
3.53
liste de révocation de certificat delta
dCRL
liste de révocation partielle qui ne contient que les entrées pour les certificats qui ont vu leur statut de
révocation évoluer suite à l’émission de la liste de révocation de certificat de base référencée
3.54
signature numérique
données ajoutées à une unité de données, ou transformation cryptographique [voir cryptographie (3.44)]
d’une unité de données, permettant à un destinataire de prouver la source et l’intégrité de l’unité de
données et protégeant contre la contrefaçon (par le destinataire, par exemple)
[SOURCE: ISO 7498-2:1989]
3.55
chiffrement
transformation cryptographique [voir cryptographie (3.44)] de données produisant un cryptogramme
[SOURCE: ISO 7498-2:1989]
3.56
entité finale
sujet de certificat qui utilise sa clé privée à d’autres fins que pour signer des certificats ou entité qui
constitue une partie utilisatrice
3.57
liste de révocation de certificat d’attribut d’entité finale
EARL
liste de révocation contenant une liste de certificats d’attribut qui ne sont plus considérés comme étant
valides par l’émetteur de certificat et qui ont été délivrés à des détenteurs de certificat qui ne sont pas
également des autorités d’attribut
3.58
liste de révocation de certificat de clé publique d’entité finale
EPRL
liste de révocation contenant une liste de certificats de clé publique qui ont été délivrés à des sujets qui
ne sont pas également des autorités de certification, qui ne sont plus considérés comme étant valides par
l’émetteur de certificat
3.59
variables environnementales
aspects de politique requis pour une prise de décision en matière d’autorisation qui ne sont pas contenus
dans des structures statiques mais qu’un vérificateur de privilège peut récupérer par l’intermédiaire de
certains moyens locaux (par exemple, instant de la journée, solde comptable actuel)
3.60
liste de révocation de certificat complète
liste de révocation complète qui contient les entrées pour tous les certificats qui ont été révoqués pour
la portée donnée
3.61
rôle fonctionnel
rôle lié à un acte
Note 1 à l’article: Les rôles fonctionnels peuvent être attribués en vue d’être remplis pendant cet acte.
Note 2 à l’article: Les rôles fonctionnels correspondent à la contribution du modèle d’informations de référence
(ou modèle RIM, pour Reference Information Model) ISO/HL7 21731.
Note 3 à l’article: Voir aussi rôle structurel (3.105).
[SOURCE: ISO 21298:—, définition 3.10 modifiée]
3.62
fonction de hachage
fonction (mathématique) qui fait correspondre les valeurs d’un grand domaine (potentiellement très
grand) de valeurs avec une gamme plus réduite de valeurs
Note 1 à l’article: Une «bonne» fonction de hachage permet d’obtenir une distribution homogène (et apparemment
aléatoire) sur la gamme des résultats de l’application de la fonction à un (grand) ensemble de valeurs dans le
domaine.
3.63
détenteur
entité à laquelle certains privilèges ont été délégués soit directement à partir de la source d’autorité, soit
indirectement par l’intermédiaire d’une autre autorité d’attribut
3.64
identification
exécution de tests permettant à un système informatique de reconnaître des entités
[SOURCE: ISO/IEC 2382-8:1998]
3.65
identifiant
élément d’information utilisé pour déclarer une identité, avant corroboration potentielle par un
authentifiant correspondant
[SOURCE: ENV 13608-1:2000]
8 © ISO 2014 – Tous droits réservés
3.66
liste de révocation de certificat indirecte
iCRL
liste de révocation qui contient au moins des informations de révocation concernant les certificats émis
par des autorités autres que celle ayant émis cette liste de révocation de certificat
3.67
intégrité
preuve qu’aucune modification n’a été apportée de manière délibérée ou involontaire au contenu d’un
message au cours de sa transmission
[SOURCE: ISO 7498-2:1989]
3.68
clé
série de symboles commandant les opérations de chiffrement et de déchiffrement
[SOURCE: ISO 7498-2:1989]
3.69
accord sur une clé
procédé de négociation d’une valeur de clé en ligne sans transfert de la clé, même sous une forme cryptée,
par exemple la technique Diffie-Hellman
Note 1 à l’article: Voir l’ISO/IEC 11770-1:2010 pour davantage d’informations sur les mécanismes d’accord sur une
clé.
3.70
gestion de clés
production, stockage, distribution, suppression, archivage et application de clés conformément à la
politique de sécurité
[SOURCE: ISO 7498-2:1989]
3.71
protocole LDAP
Lightweight Directory Access Protocol
protocole d’accès normalisé à des annuaires permettant un accès public ou contrôlé à des certificats et
à d’autres informations nécessaires dans une infrastructure de clé publique
3.72
non-répudiation
service permettant de fournir la preuve de l’intégrité des données et la preuve de leur origine (ces
preuves étant infalsifiables), que toute partie peut vérifier
[SOURCE: ISO 17090-1:2013]
3.73
identifiant d’objet
OID
identifiant alphanumérique/numérique unique enregistré dans le cadre de la norme d’enregistrement ISO
pour référencer un objet ou une classe d’objet spécifique
Note 1 à l’article: Il s’agit d’un nom de politique de certificat qui est enregistré dans un champ de chaque certificat
émis conformément à la politique.
3.74
méthode d’objet
action qui peut être invoquée sur une ressource (par exemple, un système de fichiers peut avoir des
méthodes d’objet de lecture, d’écriture et d’exécution)
3.75
fonction unilatérale
fonction (mathématique) f dont le résultat est facile à calculer mais avec laquelle, pour une valeur
générale y de la gamme, il est difficile de trouver par le calcul une valeur x du domaine telle que f(x) = y
Note 1 à l’article: Il peut exister des valeurs y pour lesquelles x est facile à trouver par le calcul.
3.76
détenteur de certificat
entité qui est désignée en tant que sujet d’un certificat valide
3.77
permission
approbation de l’exécution d’une opération sur un ou plusieurs objets protégés par un contrôle d’accès
basé sur les rôles
[SOURCE: INCITS 359-2004]
3.78
politique
ensemble d’obligations ou d’omissions légales, politiques, organisationnelles, fonctionnelles et techniques
applicable à une communication et à une coopération
3.79
accord de politique
accord écrit par le biais duquel toutes les parties impliquées s’engagent à respecter un ensemble de
politiques préalablement spécifié
3.80
point de prise de décision de politique
PDP
entité de système qui évalue la politique applicable et rend une décision d’autorisation
Note 1 à l’article: Ce terme est défini conjointement par le groupe de travail IETF réfléchissant sur le cadre de
politique et le groupe de travail DMTF (Distributed Management on Task Force)/CIM (Common Information
Model) dans RFC 3198:2001.
Note 2 à l’article: Ce terme correspond à «fonction de prise de décision concernant le contrôle d’accès» (ADF) dans
l’ISO/IEC 10181-3:1996.
3.81
point d’application de politique
PEP
entité de système qui effectue un contrôle d’accès en prenant des décisions concernant des demandes et
en appliquant des décisions d’autorisation
Note 1 à l’article: Ce terme est défini conjointement par le groupe de travail IETF réfléchissant sur le cadre de
politique et le groupe de travail DMTF (Distributed Management on Task Force)/CIM (Common Information
Model) dans RFC 3198:2001.
Note 2 à l’article: Ce terme correspond à «fonction d’application de contrôle d’accès» (AEF) dans l’ISO/IEC 10181-
3:1996.
3.82
mise en correspondance de politiques
admission du fait que lorsqu’une autorité de certification dans un premier domaine certifie une autorité
de certification dans un autre domaine, une politique de certificat particulière dans le deuxième
domaine peut être considérée par l’autorité du premier domaine comme étant équivalente (mais pas
nécessairement identique en tous points) à une politique de certificat particulière dans le premier
domaine
10 © ISO 2014 – Tous droits réservés
3.83
acteur principal
utilisateur humain et objet qui ont besoin de fonctionner avec leurs propres droits
[SOURCE: OMG Security Services Specification:2001]
3.84
clé privée
clé qui est utilisée avec un algorithme asymétrique de cryptographie et dont la possession est limitée
(habituellement à une seule entité)
[SOURCE: ISO/IEC 10181-1:1996]
3.85
privilège
capacité assignée par une autorité à une entité selon son attribut
3.86
déclarant de privilège
détenteur de privilège qui utilise son certificat d’attribut ou son certificat de clé publique pour déclarer
un privilège
3.87
infrastructure de gestion des privilèges
PMI
infrastructure pouvant prendre en charge la gestion des privilèges lors de la prise en charge d’un service
d’autorisation cohérent et de la mise en relation avec une infrastructure de clé publique
3.88
politique de privilège
poli
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.